Notizie dal Mondo

Oggi entra in vigore il GDPR: così l’UE protegge i dati dei propri cittadini


Il GDPR entrerà in vigore oggi 25 Maggio 2018 e avrà un notevole impatto su come le aziende possono utilizzare i dati personali e sensibili degli individui. Ecco perché abbiamo pensato che ti avrebbe fatto comodo una guida che abbiamo chiamato il GDPR spiegato in modo semplice.

Avrai sicuramente ricevuto millemila newsletter e letto di tutto e di più sul GDPR ma il 90% di quello che ho avuto modo di leggere è scritto nel solito misto di legalese/burocratichese che lo rende praticamente incomprensibile.

Il testo che segue non è fatto per le grandi aziende che sicuramente hanno uno studio che le segue e lavora per loro sul GDPR; è invece fatto per le micro e piccole imprese che non sanno a chi rivolgersi ma vogliono che qualcuno parli loro in modo chiaro e semplice senza tanti termini pomposi che non servono a nulla.

Ecco lo scopo di questo GDPR spiegato in modo semplice.

Per inciso, ci sono un sacco di cose del GDPR che sono ancora soggette a interpretazioni, quindi se cerchi su internet troverai come al solito tutto e il contrario di tutto ma le linee guida di massima ci sono e per il resto lasciamo ai legali il loro mestiere.


Cosa significa GDPR?

Significa General Data Protection Regulation ed è una normativa a livello Europeo, non italiano. Quindi in vigore in tutta Europa. L’Italia non ha fatto altro che recepire la direttiva Europea. È anche noto come Regolamento (UE) 2016/679 del 27 aprile 2016.

Ma non c’era già qualcosa prima sulla privacy?

Sì, c’era il Codice per la protezione dei dati personali (D.lgs. n.196/2003) che rimane in vigore fino al 25 Maggio 2018. Il GDPR abrogherà le norme del Codice per la protezione dei dati personali (D.lgs. n.196/2003) che risulteranno con esso incompatibili.

Che scopo ha il GDPR?

Il GDPR si pone l’obiettivo di uniformare e normalizzare, nell’ambito dell’Unione Europea, le diverse norme che regolano il trattamento dei dati personali, disciplinando in via definitiva le modalità con cui i dati e le informazioni dovranno essere archiviate, protette e rese accessibili da parte delle aziende

Cosa me ne frega?

Te ne frega nei limiti in cui la tua azienda, o tu come partita Iva, hai a che fare con dei dati personali di persone fisiche. Attenzione perché si applica anche ad aziende extra-UE che forniscano beni o servizi a residenti nell’Unione Europea. Se quindi la tua azienda è svizzera ma lavori con dati di cittadini italiani o di stati facenti parte della UE, allora sei dentro.

Cosa sono i dati personali?

In pratica tutte le informazioni relative a un individuo e connesse alla sua vita sia professionale che privata. Si va dai nomi alle fotografie, dall’indirizzo email ai dettagli bancari fino all’indirizzo IP. C’è ancora molta confusione su questo aspetto. In pratica il GDPR considera dati personali tutti i dati che possono servire ad identificare un individuo.

Secondo la Commissione Europea “i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque cosa: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer.

Esempi di dati personali includono:

  • Nome e cognome
  • Numero di telefono
  • Indirizzo di residenza
  • Genere e nazionalità
  • Dati bancari
  • Informazioni mediche
  • Qualsiasi dato inerente agli interessi e alle inclinazioni personali
  • Un indirizzo email quale ad esempio nome.cognome@azienda.com
  • Comportamento su un sito internet
  • Un numero di carta d’identità
  • Dati di localizzazione (ad esempio la funzione di localizzazione su un telefono cellulare)
  • Un indirizzo Internet Protcol (IP)
  • Un ID cookie

E allora cosa sono i dati sensibili?

Esiste una categoria speciale di dati personali: i dati personali sensibili.


Di questi fanno parte informazioni mediche, dati sull’origine razziale o etnica di una persona, opinioni politiche, credo religiosi, informazioni sessuali, l’appartenenza sindacale, dati biometrici (per esempio impronte digitali o scansioni della retina o del viso), dati genetici. I dati finanziari non sono invece considerati dati sensibili.

Se un’azienda elabora dati sensibili, è necessario adottare ulteriori misure di sicurezza e tecniche di sicurezza.

Alcuni dati aziendali potrebbero anche essere dati personali. mario.rossi@fiat.com è un dato personale in quanto l’indirizzo email può essere ricollegato a una persona fisica e identificabile.

Indirizzi email come info@shift.it non sono invece considerati dati personali.

Ma riguarda anche me come libero professionista o la mia azienda?

Certo. Riguarda tutti purtroppo, nessuno (quasi) escluso. Come ho scritto sopra si applica anche ad aziende extra-UE che forniscano beni o servizi a residenti nell’Unione Europea. Le compagnie dovranno quindi rivedere non solo il metodo di raccolta dei dati degli utenti, ma anche il trattamento degli stessi verificando la base giuridica del GDPR: è possibile informarsi presso il sito del Garante della protezione dei dati su documenti necessari e comportamenti da attuare per mettersi in regola.

Detto in parole povere, cosa comporta?

Sostanzialmente le aziende e le organizzazioni dovranno utilizzare un linguaggio semplice quando chiedono il consenso alla raccolta di dati personali. Dovranno essere chiare le finalità per cui questi dati vengono chiestie, soprattutto, d’ora in poi silenzio o inazione non saranno più un consenso implicito. Inoltre tu come proprietario dei tuoi dati potrai chiederne, per esempio, la cancellazione, ma questo lo vediamo dopo.

Hai presente quando qualcuno ti fa compilare un modulo per chiedere i tuoi dati online? Già prima del 25 maggio c’erano degli obblighi che moltissimi non li prendevano in considerazione. Adesso il non prenderli in considerazione diventa molto pesante in termini di multe.

Che diritti ha un soggetto privato?

  • Essere informato sul perché i suoi dati vengono raccolti e come vengono utilizzati.
  • Avere libero accesso ai dati che ha fornito e poterli trasferire liberamente da un fornitore a un altro (portabilità dei dati).
  • Poter chiedere la modifica, la cancellazione e la rimozione dei propri dati e inoltre tutte queste operazioni devono essere facilmente eseguibili.
  • Essere informato immediatamente in caso di perdita o furto dei dati.

Che doveri hanno le aziende?

  • Devono poter provare che la persona abbia fornito un consenso esplicito per il trattamento dei suoi dati. I dati devono essere trattati in modo trasparente e appropriato.
  • Devono proteggere questi dati dalla distruzione, dalla perdita o dalla loro modifica oltre a proteggerli da accessi non autorizzati.
  • Devono avere una documentazione della valutazione del rischio e delle misure messe in atto per proteggere i dati della persona.
  • Devono notificare entro 72 ore ogni caso di perdita o furto o distruzione dei dati.

FONTE https://www.shift.it/il-gdpr-spiegato-in-modo-semplice/

CLICCA QUI
Close
WhatsApp Attiva GRATIS le news sul tuo Whatsapp